Группа специалистов компании VPNMentor под руководством известного исследователя безопасности Ноама Ротема (Noam Rotem) в открытом доступе незащищенные базы данных крупного online-магазина Gearbest.
Сайт Gearbest переведен на 18 языков и продает электронику, бытовую технику, одежду, аксессуары и товары для дома в 250 странах мира, что делает его базы данных настоящей золотой жилой для киберпреступников.
По словам исследователей, им удалось получить доступ к базам данных Gearbest, содержащих порядка 1,5 млн записей. Обнаруженные БД состояли из нескольких частей. В первой хранились имена покупателей, их электронные и почтовые адреса, номера телефонов, информация о приобретенных товарах. Во второй части содержались номера заказов, сведения о типах оплаты, платежные данные, электронные адреса, имена пользователей и IP-адреса. В третьей части хранились имена покупателей, их адреса, даты рождения, номера телефонов, электронные и IP-адреса, паспортные данные и даже пароли для входа в учетные записи.
Соглашаясь с политикой конфиденциальности Gearbest, пользователь соглашается на сбор своих данных в целях улучшения сервиса. Тем не менее, проанализировав данные из БД, исследователи обнаружили информацию, которая никак не может использоваться в вышеупомянутых целях (например, зачем интернет-магазину IP-адреса покупателей?).
Согласно политике конфиденциальности Gearbest, конфиденциальные данные пользователей сайта защищены шифрованием с использованием внешнего ПО для верификации. «Но данные, к которым мы получили доступ, говорят об обратном – мегабайты конфиденциальной информации, в том числе адреса электронной почты и пароли, не были зашифрованы вообще никак», – пишут исследователи, добавив, что некоторые электронные адреса все-таки были зашифрованы.
По словам специалистов, авторизоваться в БД может любой желающий. Кто угодно может получить доступ к истории заказов, к текущим заказам, накопленным бонусным баллам Gearbest и даже поменять пароль и отредактировать личную информацию.